Scripts Cgi retournant des données en HTML/texte .. Comment est-ce sécuritaire?

Question

Il est logique de renvoyer des données lorsqu'un formulaire est soumis à l'aide de la méthode post. Il semble que seul html/text puisse être renvoyé normalement ... J'utilise gwt du côté client et cela ne semble pas fonctionner correctement si du texte brut est renvoyé.

La question: comment est sûr de retourner tout type de texte en utilisant html/text? Est-il possible que certaines données puissent rompre gwt ou formpanel? Aussi, comment est sûr de retourner quelque chose format json?

Je suppose qu'il n'est pas sûr de renvoyer des données binaires de cette manière. Je n'ai pas essayé.

Answer 1

Cela dépend du protocole que vous utilisez. GWT peut utiliser GWT RPC, SOAP, XMLRPC, JSON ou presque n'importe quoi. Je ne vois pas pourquoi il ne serait pas prudent de retourner le type de contenu text/html.

N'utilisez eval() pour JSON dans votre javascript que s'il s'agit d'un serveur de confiance. Il existe des analyseurs JSON JavaScript qui sont plus sûrs et plus rapides que eval(). Il est prévu que la prise en charge de l'analyseur JSON natif soit incluse dans la prochaine norme ECMAScript.

Pour envoyer des données binaires, il est préférable que vous l'encodiez en base64.

Answer 2

Il n'est pas prudent de retourner le type text/html car il semble changer les données si l'on ne sait pas ce qui change.

Du côté client, il a remarqué que l'espace -multiple devenir un espace -tabs disparu - <> changé en <et>